Le 12 attività principali per i team di sicurezza per supportare il lavoro da casa

Se sei come Microsoft e improvvisamente ti trovi a supportare una forza lavoro principalmente basata su casa, vogliamo aiutarti a garantire che l'organizzazione funzioni nel modo più sicuro possibile. In questo articolo vengono assegnate priorità alle attività per consentire ai team di sicurezza di implementare le funzionalità di sicurezza più importanti nel più breve tempo possibile.

Eseguire queste attività principali per supportare il lavoro da casa.

Se si è un'organizzazione di piccole o medie dimensioni che utilizza uno dei piani aziendali di Microsoft, vedere queste risorse:

Per i clienti che usano i piani aziendali, Microsoft consiglia di completare le attività elencate nella tabella seguente che si applicano al piano di servizio. Se invece di acquistare un piano Microsoft 365 enterprise, si combinano sottoscrizioni, tenere presente quanto segue:

  • Microsoft 365 E3 include Enterprise Mobility + Security (EMS) E3 e Azure AD P1
  • Microsoft 365 E5 EMS E5 e Azure AD P2

Passaggio Attività Tutti Office 365 Enterprise piani Microsoft 365 E3 Microsoft 365 E5
1 Abilitare Azure AD Multi-Factor Authentication (MFA) Incluso. Incluso. Incluso.
2 Protezione contro le minacce Incluso. Incluso. Incluso.
3 Configurare Microsoft Defender per Office 365 Incluso.
4 Configurare Microsoft Defender per l'identità Incluso.
5 Attivare Microsoft 365 Defender Incluso.
6 Configurare la protezione delle app per dispositivi mobili di Intune per telefoni e tablet Incluso. Incluso.
7 Configurare l'autenticazione a più fattori e l'accesso condizionale per gli utenti guest, inclusa la protezione delle app di Intune Incluso. Incluso
8 Registrare i PC nella gestione dei dispositivi e richiedere PC conformi Incluso. Incluso
9 Ottimizzare la rete per la connettività cloud Incluso. Incluso Incluso
10 Formare gli utenti Incluso. Incluso Incluso
11 Introduzione a Microsoft Defender for Cloud Apps Incluso
12 Monitorare le minacce ed eseguire azioni Incluso. Incluso Incluso

Prima di iniziare, controllare il Microsoft 365 secure score nel portale Microsoft 365 Defender. Da un dashboard centralizzato, puoi monitorare e migliorare la sicurezza per le identità, i dati, le app, i dispositivi e l'infrastruttura Microsoft 365 sicurezza. Vengono forniti punti per la configurazione delle funzionalità di sicurezza consigliate, l'esecuzione di attività correlate alla sicurezza (ad esempio la visualizzazione di report) o la gestione di suggerimenti con un'applicazione o un software di terze parti. Le attività consigliate in questo articolo aumentano il punteggio.

Screenshot of Microsoft Secure Score.

1: abilitare Azure AD Multi-Factor Authentication (MFA)

L'unica cosa migliore che puoi fare per migliorare la sicurezza per i dipendenti che lavorano da casa è attivare la MFA. Se non hai già processi in atto, consideralo come un progetto pilota di emergenza e assicurati di avere persone di supporto pronte ad aiutare i dipendenti che si bloccano. Dato che probabilmente non puoi distribuire dispositivi di sicurezza hardware, usa Windows Hello biometrica e le app di autenticazione degli smartphone come Microsoft Authenticator.

In genere, Microsoft consiglia di concedere agli utenti 14 giorni per registrare il dispositivo per l'autenticazione a più fattori prima di richiedere l'autenticazione a più fattori. Tuttavia, se la forza lavoro sta improvvisamente lavorando da casa, procedere e richiedere l'autenticazione a più fattori come priorità di sicurezza ed essere pronti ad aiutare gli utenti che ne hanno bisogno.

L'applicazione di questi criteri può richiedere solo pochi minuti, ma è necessario essere pronti a supportare gli utenti nei giorni successivi.


Piano Consiglio
Microsoft 365 piani (senza Azure AD P1 o P2) Abilitare le impostazioni predefinite di sicurezza in Azure AD. Le impostazioni predefinite di sicurezza in Azure AD includono la MFA per utenti e amministratori.
Microsoft 365 E3 (con Azure AD P1) Usare i criteri comuni di accesso condizionale per configurare i criteri seguenti:
- Richiedere la MFA per amministratori
- Richiedere la MFA per tutti gli utenti
- Bloccare l'autenticazione legacy
Microsoft 365 E5 (con Azure AD P2) Sfruttando i vantaggi Azure AD Identity Protection, iniziare a implementare il set consigliato di accesso condizionale di Microsoft e i criteri correlati creando questi criteri:
- Richiedere la MFA quando il rischio di accesso è considerato medio o elevato
- Bloccare i client che non supportano l'autenticazione moderna
- Gli utenti a rischio elevato devono modificare la password

2: Proteggere dalle minacce

Tutti Microsoft 365 piani includono un'ampia gamma di funzionalità di protezione dalle minacce. La protezione avanzata per queste funzionalità richiede solo pochi minuti.

  • Protezione anti-malware
  • Protezione da URL e file dannosi
  • Protezione anti-phishing
  • Protezione dalla posta indesiderata

Vedi Proteggere dalle minacce in Office 365 per indicazioni che puoi usare come punto di partenza.

3: Configurare Microsoft Defender per Office 365

Microsoft Defender per Office 365, incluso in Microsoft 365 E5 e Office 365 E5, protegge l'organizzazione dalle minacce dannose poste da messaggi di posta elettronica, collegamenti (URL) e strumenti di collaborazione. La configurazione può richiedere diverse ore.

Microsoft Defender per Office 365:

  • Protegge l'organizzazione da minacce di posta elettronica sconosciute in tempo reale utilizzando sistemi intelligenti che esaminano allegati e collegamenti alla ricerca di contenuti dannosi. Questi sistemi automatizzati includono una solida piattaforma di detonazione, euristica e modelli di machine learning.
  • Protegge l'organizzazione quando gli utenti collaborano e condividono file, identificando e bloccando file dannosi nei siti del team e nelle raccolte documenti.
  • Applica modelli di machine learning e algoritmi avanzati di rilevamento della rappresentazione per evitare attacchi di phishing.

Per una panoramica, incluso un riepilogo dei piani, vedi Defender per Office 365.

L'amministratore globale può configurare queste protezioni:

Dovrai collaborare con l'amministratore Exchange Online e l'amministratore di SharePoint Online per configurare Defender per i Office 365 per questi carichi di lavoro:

4: Configurare Microsoft Defender per l'identità

Microsoft Defender per identità è una soluzione di sicurezza basata sul cloud che sfrutta i segnali di Active Directory locali per identificare, rilevare e analizzare minacce avanzate, identità compromesse ed azioni Insider dannose dirette all'organizzazione. Concentrarsi su questo passaggio successivo perché protegge l'infrastruttura locale e cloud, non ha dipendenze o prerequisiti e può offrire vantaggi immediati.

5: attivare Microsoft 365 Defender

Ora che hai configurato Microsoft Defender per Office 365 e Microsoft Defender per l'identità, puoi visualizzare i segnali combinati da queste funzionalità in un unico dashboard. Microsoft 365 Defender riunisce avvisi, eventi imprevisti, analisi e risposta automatizzate e ricerca avanzata tra i carichi di lavoro (Microsoft Defender for Identity, Defender for Office 365, Microsoft Defender for Endpoint e Microsoft Defender for Cloud Apps) in un singolo riquadro della Microsoft 365 Defender portal.

Illustrazione del dashboard MTP.

Dopo aver configurato uno o più dei tuoi Defender per i Office 365, attiva MTP. Le nuove funzionalità vengono aggiunte continuamente a MTP; prendere in considerazione la possibilità di acconsentire esplicitamente alla ricezione delle funzionalità di anteprima.

6: Configurare la protezione delle app per dispositivi mobili di Intune per telefoni e tablet

Microsoft Intune Mobile Application Management (MAM) consente di gestire e proteggere i dati dell'organizzazione su telefoni e tablet senza gestire questi dispositivi. Tenere presente quanto segue:

  • Crei un criterio di protezione app (APP) che determina quali app in un dispositivo sono gestite e quali comportamenti sono consentiti (ad esempio, impedire la copia dei dati di un'app gestita in un'app non gestita). Puoi creare un criterio per ogni piattaforma (iOS, Android).
  • Dopo aver creato i criteri di protezione delle app, puoi applicali creando una regola di accesso condizionale in Azure AD per richiedere app approvate e protezione dei dati app.

I criteri di protezione app includono molte impostazioni. Fortunatamente, non è necessario conoscere tutte le impostazioni e valutare le opzioni. Microsoft semplifica l'applicazione di una configurazione delle impostazioni consigliando i punti di partenza. Il framework di protezione dei dati che usa i criteri di protezione delle app include tre livelli tra cui puoi scegliere.

Ancora meglio, Microsoft coordina questo framework di protezione delle app con un set di accesso condizionale e criteri correlati che consigliamo a tutte le organizzazioni di usare come punto di partenza. Se hai implementato L'autenticazione a più fattori usando le linee guida di questo articolo, sei a metà strada!

Per configurare la protezione delle app per dispositivi mobili, usa le indicazioni in Criteri comuni di identità e accesso ai dispositivi:

  1. Usa la guida Applica criteri di protezione dei dati APP per creare criteri per iOS e Android. Il livello 2 (protezione avanzata dei dati) è consigliato per la protezione di base.
  2. Creare una regola di accesso condizionale in Richiedi app approvate e protezione APP.

7: Configurare l'autenticazione a più fattori e l'accesso condizionale per gli utenti guest, inclusa la protezione delle app per dispositivi mobili di Intune

Successivamente, è possibile continuare a collaborare e collaborare con gli utenti guest. Se si usa il piano di Microsoft 365 E3 e si è implementata l'autenticazione a più fattori per tutti gli utenti, si è impostato.

Se si usa il piano Microsoft 365 E5 e si sfrutta Azure Identity Protection per l'autenticazione a più fattori basata sui rischi, è necessario apportare un paio di modifiche (perché Azure AD Identity Protection non si estende ai guest):

  • Creare una nuova regola di accesso condizionale per richiedere L'autenticazione a più fattori sempre per gli utenti guest e esterni.
  • Aggiornare la regola di accesso condizionale MFA basata sui rischi per escludere utenti guest e utenti esterni.

Usare le indicazioni disponibili in Aggiornamento dei criteri comuni per consentire e proteggere l'accesso guest ed esterno per comprendere il funzionamento dell'accesso guest con Azure AD e aggiornare i criteri interessati.

I criteri di protezione delle app per dispositivi mobili di Intune creati, insieme alla regola di accesso condizionale per richiedere app approvate e protezione app, si applicano agli account guest e consentono di proteggere i dati dell'organizzazione.

Nota

Se hai già registrato i PC nella gestione dei dispositivi per richiedere PC conformi, dovrai anche escludere gli account guest dalla regola di accesso condizionale che impone la conformità dei dispositivi.

8: registrare i PC nella gestione dei dispositivi e richiedere PC conformi

Sono disponibili diversi metodi per registrare i dispositivi della forza lavoro. Ogni metodo dipende dalla proprietà del dispositivo (personale o aziendale), dal tipo di dispositivo (iOS, Windows, Android) e dai requisiti di gestione (reimpostazione, affinità, blocco). L'operazione può richiedere un po' di tempo. Vedi: Registrare i dispositivi in Microsoft Intune.

Il modo più rapido per iniziare è configurare la registrazione automatica per Windows 10 dispositivi.

Puoi anche trarre vantaggio da queste esercitazioni:

Dopo la registrazione dei dispositivi, usa le indicazioni in Criteri di identità e accesso ai dispositivi comuni per creare questi criteri:

  • Definire i criteri di conformità dei dispositivi: le impostazioni consigliate per Windows 10 includono la richiesta di protezione antivirus. Se hai già Microsoft 365 E5, usa Microsoft Defender for Endpoint per monitorare l'integrità dei dispositivi dei dipendenti. Assicurarsi che i criteri di conformità per altri sistemi operativi includano la protezione antivirus e il software di protezione end-point.
  • Richiedi PC conformi: questa è la regola di accesso condizionale in Azure AD che applica i criteri di conformità dei dispositivi.

Solo un'organizzazione può gestire un dispositivo, quindi assicurati di escludere gli account guest dalla regola di accesso condizionale in Azure AD. Se non si escludono utenti guest ed esterni dai criteri che richiedono la conformità dei dispositivi, questi criteri bloccheranno questi utenti. Per ulteriori informazioni, vedere Aggiornamento dei criteri comuni per consentire e proteggere l'accesso guest ed esterno.

9: Ottimizzare la rete per la connettività cloud

Se si abilita rapidamente la maggior parte dei dipendenti a lavorare da casa, questo cambio improvviso di modelli di connettività può avere un impatto significativo sull'infrastruttura di rete aziendale. Molte reti sono state ridimensionate e progettate prima dell'adozione dei servizi cloud. In molti casi, le reti sono tolleranti per i lavoratori remoti, ma non sono state progettate per essere utilizzate in remoto da tutti gli utenti contemporaneamente.

Gli elementi di rete come i concentratori VPN, le apparecchiature di uscita della rete centrale (come proxy e dispositivi di prevenzione della perdita di dati), la larghezza di banda internet centrale, i circuiti MPLS di backhaul, la funzionalità NAT e così via vengono improvvisamente messi sotto pressione a causa del carico dell'intera azienda che li utilizza. Il risultato finale sono prestazioni e produttività scarse, insieme a un'esperienza utente scarsa per gli utenti che si adattano al lavoro da casa.

Alcune delle protezioni tradizionalmente fornite dal routing del traffico attraverso una rete aziendale sono fornite dalle app cloud a cui accedono gli utenti. Se hai raggiunto questo passaggio in questo articolo, hai implementato un set di sofisticati controlli di sicurezza cloud per i Microsoft 365 e i dati. Con questi controlli in atto, potresti essere pronto per instradare il traffico degli utenti remoti direttamente a Office 365. Se è ancora necessario un collegamento VPN per l'accesso ad altre applicazioni, è possibile migliorare notevolmente le prestazioni e l'esperienza utente implementando lo split tunneling. Una volta raggiunto un accordo nell'organizzazione, questo può essere ottenuto entro un giorno da un team di rete ben coordinato.

Per ulteriori informazioni, vedere queste risorse in Documenti:

Articoli di blog recenti su questo argomento:

10: Formare gli utenti

Gli utenti della formazione possono risparmiare molto tempo e frustrazione agli utenti e al team delle operazioni di sicurezza. Gli utenti esperti hanno meno probabilità di aprire allegati o fare clic su collegamenti in messaggi di posta elettronica discutibili e sono più propensi a evitare siti Web sospetti.

Il manuale della campagna per la cybersecurity della scuola Kennedy di Harvard fornisce indicazioni eccellenti su come stabilire una cultura solida di sensibilizzazione sulla sicurezza all'interno dell'organizzazione, inclusa la formazione degli utenti per identificare gli attacchi di phishing.

Microsoft 365 fornisce le risorse seguenti per informare gli utenti dell'organizzazione:


Concetti Risorse
Microsoft 365 Percorsi di apprendimento personalizzabili

Queste risorse possono aiutare a mettere insieme la formazione per gli utenti finali nell'organizzazione

Sicurezza Microsoft 365 Learning: proteggere l'organizzazione con sicurezza intelligente e integrata da Microsoft 365

Questo modulo consente di descrivere in che modo Microsoft 365 di sicurezza funzionano insieme e di articolare i vantaggi di queste funzionalità di sicurezza.

Autenticazione a più fattori Verifica in due passaggi: qual è la pagina di verifica aggiuntiva?

Questo articolo consente agli utenti finali di comprendere cos'è l'autenticazione a più fattori e perché viene utilizzata nell'organizzazione.

Oltre a queste indicazioni, Microsoft consiglia agli utenti di eseguire le azioni descritte in questo articolo: Proteggere l'accounte i dispositivi da hacker e malware. Queste azioni includono:

  • Utilizzo di password complesse
  • Protezione dei dispositivi
  • Abilitazione delle funzionalità di sicurezza Windows 10 PC mac e mac (per dispositivi non gestiti)

Microsoft consiglia inoltre agli utenti di proteggere i propri account di posta elettronica personali seguendo le azioni consigliate negli articoli seguenti:

11: Introduzione a Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps offre visibilità avanzata, controllo sui viaggi di dati e analisi sofisticate per identificare e contrastare le minacce informatiche in tutti i servizi cloud. Dopo aver iniziato a usare Defender for Cloud Apps, i criteri di rilevamento delle anomalie vengono abilitati automaticamente, ma Defender for Cloud Apps ha un periodo di apprendimento iniziale di sette giorni durante il quale non vengono generati tutti gli avvisi di rilevamento delle anomalie.

Introduzione a Defender for Cloud Apps ora. Successivamente è possibile configurare controlli e monitoraggio più sofisticati.

12: Monitorare le minacce ed eseguire azioni

Microsoft 365 diversi modi per monitorare lo stato ed eseguire le azioni appropriate. Il punto di partenza migliore è il portale Microsoft 365 Defender, in cui è possibile visualizzare il punteggio microsoft sicurodell'organizzazione e gli avvisi o le entità che richiedono la tua attenzione.

Passaggi successivi

Congratulazioni! Sono state implementate rapidamente alcune delle protezioni di sicurezza più importanti e l'organizzazione è molto più sicura. Ora sei pronto per andare ancora oltre con le funzionalità di protezione dalle minacce (tra cui Microsoft Defender for Endpoint), le funzionalità di classificazione e protezione dei dati e la protezione degli account amministrativi. Per un set più approfondito e metodico di consigli sulla sicurezza per Microsoft 365, vedere Microsoft 365 Security for Business Decision Makers (BDM).

Visita anche il nuovo Defender for Cloud di Microsoft su docs.microsoft.com/security.